English
Deutsch
Français
Español
Italiano
Home
Minacce
Worm/Locksky.BG.1
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
Worm/Locksky.BG.1 - Worm
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
Worm/Locksky.BG.1
Scoperto:
08/08/2007
Tipo:
Worm
In circolazione (ITW):
Si
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Medio
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
16.384 Byte
Somma di controllo MD5:
3de189722f632d2a6b3a08c49e7db6b6
Versione VDF:
6.38.01.081
Versione IVDF:
6.38.01.085
Generale
Metodo di propagazione:
• Email
Alias:
• Mcafee: W32/Loosky
• Kaspersky: Email-Worm.Win32.Locksky.bg
• F-Secure: Email-Worm.Win32.Locksky.bg
• Panda: W32/LockSky.DY.worm
• Grisoft: I-Worm/Locksky.CW
• Eset: Win32/Spabot.U
• Bitdefender: Win32.Locksky.BF
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Scarica un file “maligno”
• Utilizza un proprio motore SMTP per l'invio di email
• Abbassa le impostazioni di sicurezza
• Modifica del registro
• Sottrae informazioni
File
Si copia alla seguente posizione:
•
%SYSDIR%
\spoolsvv.exe
Prova a scaricare un file:
– La posizione è la seguente:
• http://5sec.name/panel/**********
Al momento dell'analisi questo file non era più disponibile.
Prova ad eseguire il seguente file:
– Nome del file:
• %sysdir%\netsh.exe
utilizzando i seguenti parametri: firewall set allowedprogram "
%directory di esecuzione del malware%
\
%file eseguiti%
" enable
Registro
Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "spoolsvv"="
%SYSDIR%
\spoolsvv.exe"
Email
Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
Da:
L'indirizzo del mittente è falso.
A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
File allegato:
L'allegato è una copia del malware stesso.
Invio di messaggi
Cerca indirizzi:
Cerca il seguente file per gli indirizzi email:
• htm
Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
• admin
• webmaster
• support
Backdoor
Contatta il server:
Tutti i seguenti:
• http://5sec.name/panel/**********
• http://5sec.name/panel/**********
• http://5sec.name/panel/**********
Come risultato può inviare alcune informazioni.
Invia informazioni riguardanti:
• File LOG creati
• Indirizzo IP
• Stato corrente del malware
• Ora di sistema
Varie
Mutex:
Crea il seguente Mutex:
• !aBirValG!
Dettagli del file
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Monica Ghitun il Tue, 06 Nov 2007 13:50 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Thu, 08 Nov 2007 08:46 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2009 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce Worm/Locksky.BG.1
Stampa questa pagina
.gif)
